E-Book, Deutsch, 130 Seiten, Format (B × H): 148 mm x 210 mm, Gewicht: 204 g
Reihe: Datenschutzberater
Gaess Datenschutz mit bewährten Methoden des Risikomanagements
1. Auflage 2020
ISBN: 978-3-8005-9300-2
Verlag: Fachmedien Recht und Wirtschaft
Format: EPUB
Kopierschutz: 6 - ePub Watermark
E-Book, Deutsch, 130 Seiten, Format (B × H): 148 mm x 210 mm, Gewicht: 204 g
Reihe: Datenschutzberater
ISBN: 978-3-8005-9300-2
Verlag: Fachmedien Recht und Wirtschaft
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Mit der Datenschutzgrundverordnung (DSGVO) hielt der Gedanke der Risikoorientierung im Datenschutz explizit Einzug. Insoweit drängte sich die Umsetzung des Datenschutzes mit dem diesbezüglich verfügbaren Handwerkszeug auf.
Das (finanzregulatorische) Risikomanagement und seine Bestandteile waren im Zuge kontinuierlicher Neuerlasse von Vorgaben seit der Finanzkrise (2007/2008) eine Dauerbaustelle. Entsprechend sind mittlerweile „Good-Practice-Modelle“ mit beachtlichem Reifegrad verfügbar. Diese sind durch das Zusammenspiel von Interne Revision, Wirtschaftsprüfer und Finanzaufsicht in der Praxis gehärtet. Leitmotiv dieser Handreichung ist die Übertragung dieser operationalisierten Lösungsansätze aus dem artverwandten Themenbereich mit dem Ziel eines gesamtheitlichen Ansatzes und der Zweitverwertung von bestehenden Maßnahmen, Strukturen und Methoden.
Zielgruppe
Betriebliche Datenschutzbeauftragte, Unternehmensjuristen, externe Datenschutzexperten, Rechtsanwälte, Mitarbeiter in Compliance-Abteilungen, Geschäftsführer und Manager, in deren Verantwortungsbereich Datenschutz und IT fallen, Unternehmen, Vereine
Autoren/Hrsg.
Fachgebiete
- Wirtschaftswissenschaften Betriebswirtschaft Management Compliance
- Wirtschaftswissenschaften Betriebswirtschaft Management Risikomanagement
- Mathematik | Informatik EDV | Informatik Technische Informatik Computersicherheit Datensicherheit, Datenschutz
- Rechtswissenschaften Öffentliches Recht Verwaltungsrecht Allgemeines Informationsrecht, Datenschutzrecht
Weitere Infos & Material
1. Prozessdesign
a) Datenschutzmanagementsystem
Der Begriff „Managementsystem“ kann wie folgt definiert werden: Managementsysteme können als ein systematisches, gezieltes und geplantes Herangehen an die Umsetzung der Unternehmenspolitik und von Unternehmenszielen bezeichnet werden. Dies geschieht, indem die Managementsysteme die betrieblichen Prozesse steuern, eine Prozessstrukturierung in die Wege leiten und die im Unternehmen bestehenden Abläufe und Prozesse optimieren.1 Abbildung 6: Datenschutzmanagement eines klassischen Implementierungsprojektes In der Informationssicherheit wird nahezu nur noch in dieser Denkweise gearbeitet (Informationssicherheitsmanagementsystem). Das BSI spricht in dem IT lastigen Datenschutzbaustein M 2.501 von „Datenschutzmanagement“ (Quelle abgerufen am 2. Juni 2019: https://www.bsi.bund.de/DE/Themen/
ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02501.html Managementsysteme behandeln Themenkomplexe aus dem Blickwinkel des gesamtheitlichen „Orchestrierens“ und unter Berücksichtigung des „Lifecycles“. Der Aspekt des „Lifecycles“ kommt mit dem Demingkreis2 (Plan, Do, Check, Act) besonders gut zum Ausdruck. Der „Orchestrierungsgedanke“ für Compliance-Themen wie Datenschutz kann hingegen aus dem Standard des Instituts der Deutschen Wirtschaftsprüfer IDW PS 980 interpretiert werden.3 Ein Compliance Managementsystem besteht demnach aus ? Compliance-Kultur
? Compliance-Zielen
? Compliance-Risiken
? Compliance-Programm
? Compliance-Organisation
? Compliance-Kommunikation
? Compliance-Überwachung
Ist die Compliance-Organisation in einem Unternehmen nach diesem Standard ausgerichtet, so kann es sinnvoll sein, auch die datenschutzrechtliche Organisation nach diesem Standard auszurichten.4 Mit dem IDW PS 9.860.1 gibt es mittlerweile auch einen eigenen Prüfungsstandard der Wirtschaftsprüfer für Datenschutz. Allerdings eignet sich auch dieser weniger als Organisationsgerüst, da dieser schwerpunktmäßig aus dem Blickwinkel einer Prüfung verfasst ist. Es gibt jedoch eine Vielzahl weiterer passender Standards, die als Organisationsgerüst genutzt werden können. Hat sich z.B. ein Unternehmen nach COBIT 5 ausgerichtet (Framework zur IT-Governance) – so lohnt sich die Prüfung, inwieweit diese Strukturen für den Datenschutz (mit)genutzt werden können. Dies gilt auch für andere Strukturen, die im Unternehmen bereits bestehen und ggf. umgewidmet werden können. Abbildung 7: Konvergenzen von Compliance Management Systemen, Datenschutzverwaltungsprogrammen und Informationssicherheitsmanagementsystemen Besteht die Wahl, so erscheinen aus Sicht eines operativ ausgerichteten Datenschutzmanagements jedoch andere Strukturierungsmodelle für den Datenschutz passender. b) Datenschutzkonzept
Das Datenschutzkonzept ist der planerische Bestandteil des Datenschutzmanagements. Aus dem Datenschutzkonzept sollte sich das Organisationsmodell für den Betrieb des Datenschutzmanagements ergeben. Als Einstieg für ein Datenschutzkonzept bietet sich initial eine umfassende Gap-Analyse der Datenschutzorganisation an. Diese sollte alle Fragen aufwerfen, die sich unter Berücksichtigung des Geschäftsmodells und der konkreten Bedürfnisse hinsichtlich des Datenschutzes an das jeweilige Unternehmen ergeben. c) Aufgaben, Rollen & Verantwortlichkeiten
aa) Allgemein Die Klärung personeller und finanzieller Ressourcen wird meist hintenangestellt und somit auf das Ende einer Projektmaßnahme verlegt. Rollen und Verantwortlichkeiten der Ziellösung haben aber in der Regel erheblichen Einfluss auf die Gestaltung der Arbeitsorganisation. Daher sind Rollen und Verantwortlichkeiten im Idealfall bei Beginn einer Umstrukturierung zu definieren. Ansonsten kann weder die Arbeitsorganisation noch das Arbeitsmaterial zielgruppengerecht ausgestaltet werden. bb) Welche Aufgabenverteilung besteht? Oftmals haben die involvierten Akteure eine unterschiedliche Sichtweise auf das Thema „Datenschutz im Unternehmen“. Zur Verdeutlichung soll ein Auszug der Stimmen der relevanten Akteure aus dem Bereich Geschäftsleitung, Fachbereich und Datenschutz widergegeben werden: Stimmen aus dem Fachbereich: • Datenschutz, macht bei uns der Datenschützer.
• Allein der Datenschutz hat dafür Sorge zu tragen, dass wir datenschutzrechtlich sauber sind.
• Ich verstehe nicht, was aus datenschutzrechtlicher Sicht zu tun ist. Klare Leitlinien sind für mich nicht greifbar. Der Bereich Datenschutz kann uns auch kein geeignetes Material zur Verfügung stellen.
• Datenschutz macht doch die IT?
Stimmen aus dem Bereich Datenschutz: • Die Abteilung Datenschutz hat nur beratende und prüfende Funktion.
• Der Bereich Datenschutz hat nicht genügend Ressourcen.
• Die Geschäftsführung ist die verantwortliche Stelle. Sie ist somit auch für das Datenschutzmanagement verantwortlich.
• Die Fachbereiche sind für den operativen Datenschutz verantwortlich.
• Der Fachbereich muss das für ihn relevante datenschutzrechtliche Material selbst erstellen und dem Bereich Datenschutz zur Prüfung vorlegen.
Stimmen der Geschäftsleitung: • Ich kann den Mehrwert von Datenschutz noch immer nicht erkennen.
• Datenschutz bremst nur die Geschäftsentwicklung.
• Die DSGVO war nur ein Sturm im Wasserglas. Bedrohliche Strafen werden weiterhin nicht verhängt. Entsprechend widme ich mich wichtigeren Themen.
Diese Stimmen zeigen den häufig initialen Klärungsbedarf im Bereich Sinn und Zweck, Aufgaben sowie Rollen und Verantwortlichkeiten. Damit sind insbesondere folgende Fragen zu klären: • Wer betreibt operativ das Datenschutzmanagement?
• Welche datenschutzrechtlichen Aufgaben haben jeweils die Akteure Geschäftsleitung, Fachbereich und Datenschutzbeauftragter?
• Welche Verantwortung (und welche Haftung) haben die Akteure Geschäftsleitung, Fachbereich und Datenschutzbeauftragter?
• Welche Dokumentation ist von welchem Akteur zu erstellen?
• Inwieweit muss ein Akteur den anderen zu dessen Aufgaben befähigen?
Der Themenpunkt der Aufgabenverteilung benötigt besondere Beachtung, weil Art. 38 DSGVO und Art. 39 DSGVO insbesondere die beratende und prüfende Funktion des Datenschutzbeauftragten beinhalten. Weitere Organisationspflichten ergeben sich hieraus nicht. Die Datenschutzkonferenz schreibt mit dem Kurzpapier Nr. 12: „Verantwortung für die Einhaltung der DS-GVO Die DS-GVO stellt in Art. 24 Abs. 1 DS-GVO ausdrücklich klar, dass es die Pflicht des Verantwortlichen bzw. des Auftragsverarbeiters – und nicht des DSB – bleibt, sicherzustellen und nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Regelungen der DS-GVO stehen. Gleichwohl sollte der DSB seine Tätigkeiten in angemessener Weise dokumentieren, um ggf. nachweisen zu können, dass er seinen Aufgaben (insbesondere Unterrichtung und Beratung) ordnungsgemäß nachgekommen ist.“ Liest man Gesetz und Kurzpapier, kann der Eindruck entstehen, dass der Datenschutzbeauftragte nur prüfende und beratende Funktion hat und nicht auch für den Betrieb des Datenschutzmanagements zuständig ist. Dann drängt sich aber die Frage auf, wer das Datenschutzmanagement denn eigentlich betreibt. • Die Geschäftsführung ist ausweislich Art. 24 DSGVO die „Verantwortliche Stelle“. Sie kann aber hinsichtlich des Datenschutzmanagements nicht handelnder Akteur sein. Die Geschäftsleitung ist kein operativ agierender Akteur. Die Geschäftsleitung trägt die Verantwortung und nimmt strategische und kontrollierende Aufgaben wahr (ggf. nach Vorstandsressourcen unterteilt). In den entsprechenden Kompetenzlinien werden die Aufgaben auf hierarchisch nachrangig gelagerte Abteilungen delegiert.
• Die operativen Fachbereiche (also aus Datenschutzsicht die...
